Главная | Пиротехника

Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Як розшифрувати файли після вірусу шифрувальника da_vinci_code

  1. Опис вірусу шифрувальника da_vinci_code
  2. Вірус ставить розширення da_vinci_code на файли
  3. Як лікувати комп'ютер і видалити вірус da_vinci_code
  4. Де скачати дешифратор da_vinci_code
  5. Як розшифрувати і відновити файли після вірусу код да Вінчі
  6. Касперський, eset nod32 і інші в боротьбі з шифрувальником код да Вінчі
  7. Куди ще звернутися за гарантованої розшифровкою
  8. Методи захисту від вірусу da_vinci_code
  9. Відео c розшифровкою і відновленням файлів

Знову довелося зіткнутися з проблемою користувача - втрата робочих файлів через нового вірусняк з промовистою назвою. Розглянемо питання - як лікувати комп'ютер після вірусу шифрувальника da_vinci_code і розшифрувати файли з розширенням код да Вінчі. В черговий раз повторимо правила безпеки для захисту комп'ютерів і даних від такого роду зловредів.

Гарантована розшифровка файлів після вірусу шифрувальника - dr.shifro.ru . Подробиці роботи і схема взаємодії з замовником нижче в статті у відповідному розділі під номером 7 в Змісті. Вийшла нова модифікація вірусу шифрувальника, схожого на так Вінчі - no_more_ransom . Детальний опис вірусу, методи лікування комп'ютера і варіанти відновлення файлів читайте за посиланням.

Опис вірусу шифрувальника da_vinci_code

Довелось днями познайомитися з черговим вірусом шифрувальником - da_vinci_code. На шифрувальників мені щастить, я вже дуже добре з ними знайомий. Все було як завжди:

  1. Лист користувачеві від нібито контрагента з проханням перевірити там якусь інформацію, акт звірки або щось ще. Лист із вкладенням.
  2. Користувач відкриває вкладення, там архів, в архіві js скрипт. Відкриває архів зі скриптом і запускає його.
  3. Скрипт качає з інтернету сам вірус і починає шифрувати всі файли на локальних дисках, до яких встигає дотягнутися.
  4. На фініші у користувача змінюється картинка на робочому столі, де йдеться про те, що всі файли зашифровані.

Така ось проста і банальна послідовність дій, яку до сих пір користувачі успішно виконують. Причому встановлені антивіруси на їх комп'ютерах не запобігають шифрування файлів. Толку від них у разі вірусу-шифрувальника ніякого немає.

Назва цього зловреда вельми оригінальне - код да Вінчі, або da_vinci_code. Прозвали його так за те, що він ставить відповідне розширення на зашифровані файли. Після того, як вірус шифратор попрацює на компі і закінчить шифрування, ви побачите повідомлення на робочому столі у вигляді шпалер:

Після того, як вірус шифратор попрацює на компі і закінчить шифрування, ви побачите повідомлення на робочому столі у вигляді шпалер:

На робочому столі і дисках системи з'явиться безліч текстових файлів з інформацією про те, що всі ваші файли були зашифровані. Текст повідомлення буде приблизно наступний:

Текст повідомлення буде приблизно наступний:

Відразу, як тільки ви це побачите, вимкніть комп'ютер від мережі і завершите його роботу. Це дозволить уникнути шифрування мережевих папок, якщо вірус має таку можливість. Я стикався з шифрувальником, які шифрували всі мережеві папки, наприклад vault , Але були й такі, які працювали тільки з локальним комп'ютером, як вірус enigma . Що конкретно робить цей вірус, я не знаю, так як модифікацій може бути багато. Тому обов'язково вимикайте комп'ютер. Нижче я розповім, як діяти далі для лікування комп'ютера і розшифровки файлів.

Вірус ставить розширення da_vinci_code на файли

Отже, ви зловили вірус і виявили, що всі файли поміняли не тільки своє розширення на da_vinci_code, а й імена файлів стали виду:

  • FCLz7Bp- + HIHOCKm0rlMfw ==. 8C29FA8A8AC85257C10F.da_vinci_code
  • 3Aag8evVDM6H8IWIiRpnhf2XXI6NMbGpB9XQTAKQ ==. B604CC12F53D945AF080.da_vinci_code
  • 1Fy-zfjTwpz95HtypRQ-Fo8nCVaEECEB + tBgJ4Z7604CC12F53D945AF080.da_vinci_code

Шифрує він майже всі корисні файли. У моєму випадку він зашифрував всі документи, архіви, картинки, відео. Взагалі вся корисна інформація на комп'ютері перетворилася ось в таку зашифровану кашу. Прочитати файли стало неможливо. Навіть зрозуміти, що це за файли можна. Це, до речі, суттєвий мінус. Всі попередні модифікації шифрувальника, що до мене потрапляли, залишали оригінальне ім'я файлу. Цей же не тільки розширення поміняв, але і замінив всі імена файлів. Стало неможливо зрозуміти, що конкретно ти втратив. Розумієш тільки, що ВСЕ!

Вам пощастило, якщо файли зашифровані тільки на локальному комп'ютері, як в моєму випадку. Гірше, якщо вірус шифрувальник та Вінчі зашкодить файли і на мережевих дисках, наприклад, організації. Це взагалі здатне повністю паралізувати роботу компанії. З таким я теж стикався і не раз. Доводилося платити зловмисникам, щоб відновити роботу.

Як лікувати комп'ютер і видалити вірус da_vinci_code

Вірус вже у вас на комп'ютері. Перший і найголовніший питання - як вилікувати комп'ютер і як видалити з нього вірус, щоб запобігти подальшому шифрування, якщо воно ще не було закінчено. Надійніше видалити шифрувальник та Вінчі вручну, але тут без спеціальних знань не обійтися і не завжди це можна зробити швидко. Віруси постійно змінюються, змінюють назву виконуваних файлів і місце їх розташування. Я розповім про ту модифікацію, що попалася мені. Покажу, як вилікувати комп'ютер вручну і автоматично за допомогою антивірусних утиліт з видалення вірусів.

Хочу відразу зробити важливе попередження. Якщо ви хочете будь-що-будь відновити свої файли і готові звернутися в організації, що займаються розшифровкою або в антивірусну компанію, якщо у вас є платна підписка на антивіруси, то не робіть самі нічого. Або перед цим зробіть повний образ системи і тільки потім щось робіть. Інакше ваша робота може істотно ускладнити або взагалі унеможливити відновлення інформації.

Спочатку проведемо видалення вірусу код да Вінчі вручну. Як я вже говорив раніше, комп'ютер потрібно обов'язково відключити від мережі. Якщо ви вже бачите на робочому столі картинку з інформацією про те, що всі важливі файли на всіх дисках вашого комп'ютера були зашифровані, то швидше за все вірус вже все зашифрував, так що поспішати нам нікуди. Я виявив вірус практично відразу, просто запустивши диспетчер задач і додавши стовпець під назвою «Командний рядок».

Процес csrss.exe розташований в підозрілому місці, маскується під системний, але при цьому не має опису. Це і є вірус. Завершуємо процес в диспетчері завдань і видаляємо його з папки C: \ ProgramData \ Windows. У моєму випадку папка була прихована, тому потрібно включити відображення прихованих папок і файлів. У пошуку легко знайти як це зробити.

Далі запускаємо редактор реєстру і шукаємо всі записи зі знайденим шляхом: «C: \ ProgramData \ Windows» і видаляємо їх.

Далі запускаємо редактор реєстру і шукаємо всі записи зі знайденим шляхом: «C: \ ProgramData \ Windows» і видаляємо їх

Тепер можна поміняти шпалери на робочому столі стандартним чином. Встановлена картинка з інформацією знаходиться за адресою C: \ Users \ user \ AppData \ Roaming, можете видалити або залишити на пам'ять.

Далі рекомендую очистити тимчасову папку користувача C: \ Users \ user \ AppData \ Local \ Temp. Саме da_vinci там свої файлів не мав, але інші частенько це роблять.

На цьому видалення вірусу код да Вінчі в ручному режимі завершено. Традиційно, віруси шифрувальники легко видаляються з системи, так як їм немає сенсу в ній сидіти після того, як вони зробили свою справу.

Тепер я покажу, як вилікувати комп'ютер за допомогою утиліти CureIt від Dr.web. Йдете на сайт https://free.drweb.ru/cureit/ і завантажуєте утиліту. Копіюєте її на флешку, під'єднуєте флешку до комп'ютера, попередньо видаливши з неї всі потрібні документи, так як вірус їх може зашифрувати. І запускаєте на флешці програму. Виконуєте повне сканування системи. Антивірус виявить встановлений шіфровщікі і запропонує його видалити.

Якщо у вас нова модифікація вірусу, яку ще не знають антивіруси, то вони вам допомогти не можуть. Тоді залишається тільки ручний варіант лікування комп'ютера від шифрувальника. Думаю, це не складе великих труднощів, так як вони не сильно маскуються в системі. Як я вже сказав, їм це і не потрібно. Звичайного диспетчера задач і пошуку по реєстру буває досить.

Будемо вважати, що лікування пройшло успішно і шифрувальник та Вінчі видалений з комп'ютера. Приступаємо до відновлення файлів.

Де скачати дешифратор da_vinci_code

Питання простого і надійного дешифратора встає в першу чергу, коли справа стосується вірусу-шифрувальника. Мені зустрічалися дешифратори до окремих модифікаціям вірусу, які можна було завантажити і перевірити. Але найчастіше вони не працюють. Справа в тому, що сам принцип rsa шифрування не дозволяє створити дешифратор без ключа, який знаходиться у зловмисників. Якщо дешифратор da_vinci_code і існує, то тільки у авторів вірусу або афілійованих осіб, які якось пов'язані з авторами. Принаймні так я розумію принцип роботи. Можливо я в чомусь помиляюся. Зараз дуже багато фірм розвелося, які займаються розшифровкою. З одного з них я знайомий, розповім про неї пізніше, але як вони працюють, мені не кажуть.

Так що дешифратора в повному сенсі цього слова я надати не зможу. Замість цього пропоную поки скачати пару програм, які нам допоможуть провести розшифровку і відновлення файлів. Хоча слово розшифровка тут підходить з натяжкою, але сенс в тому, що файли ми можемо спробувати отримати назад.

Нам знадобиться програма shadow explorer для відновлення файлів з тіньових копій. Щоб спробувати відновити інші файли, скористаємося програмою для відновлення видалених файлів photorec . Обидві програми безкоштовні, можна без проблем качати і користуватися. Далі розповім як їх використовувати.

Як розшифрувати і відновити файли після вірусу код да Вінчі

Як я вже говорив раніше, розшифрувати файли після вірусу da_vinci_code без ключа неможливо. Тому ми скористаємося альтернативними способами відновлення даних. Для початку спробуємо відновити архівні копії файлів, які зберігаються в тіньових копіях диска. За замовчуванням, починаючи з Windows 7 технологія тіньових копій включена за замовчуванням. Перевірити це можна у властивостях комп'ютера, в розділі захист системи.

Якщо у вас вона включена, то запускайте програму ShadowExplorer, яку я пропонував завантажити трохи вище. Виймайте з архіву і запускайте. Нас зустрічає головне вікно програми. У лівому верхньому кутку можна вибрати диск і дату резервної копії. Швидше за все у вас їх буде кілька, потрібно вибрати необхідну. Щоб відновити якомога більше файлів, перевірте всі дати на наявність потрібних файлів.

У моєму прикладі на робочому столі лежать 4 документа, які там були до роботи вірусу. Я їх можу відновити. Виділяю потрібну папку, в даному випадку Desktop і натискаю правою кнопкою мишки, тисну на Export і вибираю папку, куди будуть відновлені зашифровані файли.

Якщо у вас не була відключена захист системи, то з великою часткою ймовірності ви відновите якусь частину зашифрованих файлів. Деякі відновлюють 80-90%, я знаю такі випадки.

Якщо у вас з якоїсь причини немає тіньових копій, то все значно ускладнюється. У вас залишається останній шанс безкоштовно розшифрувати свої файли - відновити їх за допомогою програм з пошуку і відновлення видалених файлів. Я пропоную скористатися безкоштовною програмою Photorec. Завантажуйте її і запускайте.

Після запуску виберіть ваш диск, на якому будемо проводити відновлення даних. Потім вкажіть папку, куди будуть відновлені знайдені файли. Краще, якщо це буде якийсь інший диск або флешка, але не той же самий, де шукаєте.

Пошук і відновлення файлів буде тривати досить довго. Після закінчення процесу відновлення вам буде показано, скільки і яких файлів було відновлено.

Можна закрити програму і пройти в папку, яку вказали для відновлення. Там буде набір інших папок, в яких будуть файли. Все, що вийшло розшифрувати, знаходиться в цих папках. Вам доведеться вручну дивитися, шукати і розбирати файли.

Якщо результат вас не задовольнить, то є інші програми для відновлення видалених файлів. Ось список програм, які я зазвичай використовую, коли потрібно відновити максимальну кількість файлів:

  • R.saver
  • Starus File Recovery
  • JPEG Recovery Pro
  • Active File Recovery Professional

Програми ці не безкоштовно, тому я не буду приводити посилань. При великому бажанні, ви зможете їх самі знайти в інтернеті.

Це все, що я знав і міг підказати на тему того, як розшифрувати і відновити файли після вірусу da_vinci_code. В принципі, шанси на відновлення є, але не в повному обсязі. Напевно може допомогти тільки своєчасно зроблена архівна копія.

Касперський, eset nod32 і інші в боротьбі з шифрувальником код да Вінчі

Ну а що ж наші сучасні антивіруси скажуть щодо розшифровки файлів. Я полазив по форумах найпопулярніших антивірусів: kaspersky, eset nod32, dr.web. Ніякої більш чи менш корисної інформації там не знайшов. Ось що відповідають на форумі eset nod32 з приводу вірусу так Вінчі:

http://forum.esetnod32.ru/messages/forum35/topic13242/message93186/

Нод 32 нічого запропонувати не може для того, щоб розшифрувати файли. На форумі антивіруса kaspersky схожий відповідь: «З розшифровкою допомогти не зможемо.»

»

https://forum.kasperskyclub.ru/index.php?showtopic=50109&p=737346

Модератор пропонує звернутися в технічну підтримку. Але особисто я не бачив інформації, щоб касперский комусь запропонував дешифратор da_vinci_code. На офіційному форумі взагалі немає корисної інформації у відкритому вигляді, тільки прохання про допомогу з розшифровкою і лікуванням. Всіх відправляють на форум kasperskyclub.

Виходить, що порятунок потопаючих справа рук самих потопаючих. Вірус давно гуляє по інтернету, а надійного засобу відновлення даних немає. З недавнім вірусом enigma була кращою ситуація. Там начебто Dr.Web пропонував дешифратор . За поточного вірусу інформації немає. На форумі доктора веба тільки запити на допомогу в розшифровці. Але всіх відправляють в тих підтримку. Вона спробує допомогти тільки в тому випадку, якщо на момент зараження у вас була ліцензія на антивірус.

Куди ще звернутися за гарантованої розшифровкою

Мені довелося познайомитися з однією компанією, яка реально розшифровує дані після роботи різних вірусів-шифрувальників, в тому числі da vinci code. Їх адреса - http://www.dr-shifro.ru . Оплата тільки після повної розшифровки і вашої перевірки. Ось приблизна схема роботи:

  1. Фахівець компанії під'їжджає до вас в офіс або на будинок, і підписує з вами договір, в якому фіксує вартість робіт.
  2. Запускає дешифратор і розшифровує всі файли.
  3. Ви переконуєтеся в тому, що всі файли відкриваються, і підписуєте акт здачі / приймання виконаних робіт.
  4. Оплата виключно за фактом успішного результату дешифрування.

Детальніше про схему роботи- http://www.dr-shifro.ru/11_blog-details.html

Скажу чесно, я не знаю, як вони це роблять, але ви нічим не ризикуєте. Оплата тільки після демонстрації роботи дешифратора. Прохання написати відгук про досвід взаємодії з цією компанією.

Методи захисту від вірусу da_vinci_code

Всі способи захисту від вірусів шифрувальників давно вже придумані і відомі. Я їх приводив в попередніх статтях по вірусам, повторюватися не хочеться. Найголовніше - не відкривати підозрілі вкладення в пошті. Всі відомі мені шифрувальники потрапили на комп'ютер користувача через пошту. Якщо вірус свіжий, то жоден антивірус вам не допоможе. Зловмисники, перш ніж почати розсилати вірус, перевіряють його всіма відомими антивірусами. Вони домагаються того, щоб антивіруси ніяк не реагували. Після цього починається розсилка. Так що перші жертви гарантовано постраждають, якщо запустять віруси. Решті вже як пощастить.

Як тільки ефективність вірусу падає, а антивіруси починають на нього реагувати, виходить нова модифікація і все починається знову. І так по колу вже років зо два. Саме в цей період я помітив самий розквіт вірусів-шифрувальників. Раніше це була екзотика і рідкість, а зараз найпопулярніший тип вірусів, який замінив собою банери-блокувальники. Але вони в порівнянні з шифрувальником, просто дитячі пустощі.

Друга порада по надійному захисті від шифрувальників - резервні копії, які не підключені до комп'ютери. Тобто зробили копію і відключили носій від комп'ютера, поклали в ящик. Тільки так можна напевно захистити інформацію.

Відео c розшифровкою і відновленням файлів

Допомогла стаття? Є можливість віддячити автора

Php?

Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.